not logged in | [Login]

Sécurité du réseau, les menaces

Que l’on me donne six heures pour couper un arbre, j’en passerai quatre à préparer ma hache »

— Abraham Lincoln

Préambule

Temps Démarche Objectif Compétence visée
~0 Pratique Utilisation Exécution
x Technique Maîtrise Responsabilité
∞ ? Scientifique Émancipation Liberté

cf Allégorie de la caverne — Platon

Définitions

Menace

Dans le dictionnaire, le terme a plusieurs sens :

  • Intimidation => Hostilité avérée,
  • Signe plus ou moins pregnant de quelque chose que l’on doit craindre => risque, voire danger

Risque

Le risque est constitué par :

  1. un actif (asset en anglais) ayant — par définition — de la valeur,
  2. une vulnérabilité de cet actif,
  3. une menace
    • d’exploitation de cette vulnérabilité, et donc
    • d’atteinte à la valeur de l’actif

L’occurence d’un risque est caractérisée par

  1. sa probabilité,
  2. les conséquences qu’elle entraîne

Sécurité de l’information

La sécurité de l’information est définie par la préservation de trois qualités, abrégées CID :

  • la confidentialité,
  • la disponibilité,
  • l’intégrité

Les moyens mis en œuvre pour garantir ces qualités permettent également d’assurer l’authentification et la capacité de faire preuve, appelée aussi non-répudiation.

Risques pour l’information

Analyse sommaire

L’information est un capital, un bien immatériel, un actif essentiel dans toute entreprise ou organisation. Sa valeur est intrinsèquement liée aux qualités CID qui sont à préserver.

Aujourd’hui, l’information est produite, traitée, transportée et exploitée par des systèmes et sur des réseaux qui présentent des vulnérabilités.

Les menaces sont très nombreuses, diverses et variées. Elles sont l’objet de la suite de ce document. La probabilité d’occurrence du risque d’atteinte aux qualités de l’information, à la valeur de l’actif dépend largement de la menace

Conséquences potentielles

La nature capitale de l’information est intrinsèquement liée aux qualités CID. Suivant la nature de l’information, la menace peut porter sur l’une ou l’autre de ces qualités.

La confidentialité de l’information peut être visée à des fins d’espionnage (industriel, stratégique ou politique) ou d’usurpation d’identité (vol d’information bancaires, exploitation des données personnelles, détournement de ressources, …).

L’atteinte à la disponibilité de l’information affecte l’activité économique, voire la réputation et la capacité de non-répudiation (faire la preuve). Une menace typique portant sur la disponibilité, l’attaque par déni de service (DoS), est à la fois – relativement – simple à mettre en œuvre et difficile à éviter (contre-mesures complexes).

L’intégrité de l’information est essentiellement visée à des fins de désinformation. L’occurrence de risques non-intentionnels sur l’intégrité de l’information engendrent généralement une indisponibilité, même temporaire.

Menaces non intentionnelles

La vulnérabilité des actifs informationnels et les menaces qui pèsent sur ces actifs ne sont pas nécessairement de nature informatique. Les menaces ne sont pas non plus toutes de nature intentionnelles.

La suite de ce document n’aborde que les menaces et vulnérabilités délibérées (D). Toutefois, l’examen de l’annexe C de la norme ISO 27005 donne une liste d’exemples de menaces accidentelles (A) et environnementales (E):

Conséquences graves

Si l’impact des conséquences de l’occurence d’un risque peut être d’ordre économique, il existe aussi certains cas où les conséquences peuvent présenter un facteur humain.

Récemment, une attaque – probablement par phishing – ayant pour cible la chaîne d’information Al-Jazeera a permis à des membres de la Syrian Electronic Army, organisation gouvernementale, d’obtenir des informations confidentielles issues d’emails de ses journalistes révélant l’identité de certaines sources.

Des faits avérés tel que celui-ci, de l’ordre de la criminalité, tendent à généraliser l’utilisation du terme de cybercriminalité. Il est toutefois essentiel de bien différencier les crimes des délits. Le contexte actuel y est cependant défavorable ; ainsi par exemple, le principe d’acte de désobéissance civile (cf opération payback) n’est pas reconnu par la loi et assimilé à un crime dès lors qu’il s’agit d’attaques informatiques.

Par contre, l’exploitation à des fins lucratives des données personnelles de leurs usagers par les grandes entreprises (GAFA) du réseau (légalement du fait de l’approbation des CGU par l’usager : TL;DR ou « Si c’est gratuit, c’est que vous êtes le produit ») ne semble poser aucun problème. La tendance est plutôt à la généralisation de l’exploitation de ces données à des fins de surveillance.

Ces conséquences, réellement graves, sont virtuellement exclues de la suite de ce document.

ROI de la sécurité

La sécurité informatique coûte cher mais elle ne rapporte rien.

Outre la perte d’activité, à laquelle le profit est généralement directement lié, la plus grave conséquence d’une atteinte à la sécurité de l’information est la perte de confiance car c’est la confiance qui permet de générer des profits.

QQO(Q)C(CP)

Qui ?

  • Qui peut être attaqué ? : N’importe qui présent sur le réseau !
  • Qui attaque ?
    • gentils/méchants
    • intérieur/extérieur
    • humain/non-humain

Quand ?

  • Quand doit-on se protéger ? : Avant de se connecter dans l’idéal, sinon maintenant, dès que possible au pire.
  • Quand est-on attaqué ? :
    • hier : Un peu d’histoire

      • 1971 : phreaking de Cap’n Crunch
      • 1983 : Dark Dante accède à l’ancêtre d’internet sans autorisation
      • 1984 : Apparition des premiers virus. The Cracker s’introduit dans les serveurs de la NASA et du DoD
      • 1988 : Le ver de Morris paralyse internet, il est condamné à trois ans de mise à l’épreuve, 400 heures de TIG et une amende de 10000 dollars.
      • 1990 : Dark Dante gagne une Porsche 944 lors d’un concours radio après avoir piraté le système téléphonique. Finalement arrêté en 1994, il écope de 4 ans d’emprisonnement.
      • 1991 : le virus MichaelAnge est programmé pour s’exécuter le 6 mars
      • 1994 :
        • Datastream Cowboy, 16 ans est arrêté pour accès non autorisé à des données informatiques
        • Vladimir Levin, mathématicien russe, dérobe 10 millions de dollars à la CityBank
      • 1995 : Minor Threat est banni d’internet
      • 1996 : un virus à retardement de Tim Lloyd provoque 12 millions de dollars de perte pour la société Omega Engineering, il est condamné à 41 mois de prison.
      • 1998 :
        • Deux jumeaux chinois sont condamnés à mort pour avoir détourné 85000 dollars via le réseau informatique d’une banque
        • Le virus CIH efface la mémoire BIOS des ordinateurs vulnérables
      • 2000 : Mafiaboy fait tomber les sites de Yahoo, Ebay, Amazon et CNN par une attaque par déni de service (DoS). Mineur, il est condamné à huit mois de détention dans un centre de détention juvénile.
      • 2001 : Le virus CodeRed infecte une centaine de milliers d’ordinateurs en quelques heures.
      • 2002 : Gary McKinnon à la recherche d’informations sur la zone 51, pirate une centaine d’ordinateurs de la NASA, du DoD, du pentagone, … S’il était extradé aux USA, il purgerait 70 ans de prison.
    • aujourd’hui (cf Liens)
    • demain => veille !

Où…

  • Où sont les attaquants ?
    • intérieur/extérieur
    • aspect géographique
  • Où est ciblée l’attaque ? Sur n’importe quel dispositif (matériel, logiciel, réseau, personne, site, organisation) à partir du moment où il présente une vulnérabilité exploitable et une valeur convoitée

Combien…

  • Combien peut-on subir d’attaque ? Exercice : Essayer de laisser un service ouvert (vulnérable ou pas) sur le réseau et superviser les connexions non autorisées.

Connaître son ennemi

Si vis pacem, parabellum

— Végèce, in. Traité de l’Art Militaire

Catégorisation des attaquants

On peut classer les attaquants suivant leur niveau technique, leur éthique, les moyens à leur disposition, leurs motivations…

Profils techniques

  • Script Kiddy : du nuke à metasploit
  • [Cr|H]acker :
    • Cracker vs. Hacker
    • White hat vs. Black Hat (et 50 nuances de gris…)
    • Certains changent aussi facilement de casquette qu’ils pénètrent les systèmes et les réseaux
    • Hackademy, Ethical Certified Hacker
    • Hacktivisme
    • Phreaker, Warez, …
  • APT : Advanced Persistent Thread

Motivations

  • Pirate informatique : Défi, Amour-propre, Rébellion, Statut, Argent
  • Escroc informatique : Destruction d’informations, Divulgation illégale d’informations, Gain financier, Modification non autorisée de données
  • Terroriste : Renseignement, Extorsion, Destruction, Vengeance, Avantage politique, Couverture médiatique
  • Espionnage industriel : Avantage concurrentiel, Espionnage économique
  • À l’intérieur : Employés mécontents, malveillants, malhonnêtes ou licenciés / Amour-propre, Renseignement, Gain financier, Vengeance

Techniques (Qui ? Quoi ? Comment ? Pourquoi ?)

When people attempt to formalize (and, often, brand & market) common sense, it tends to substitute checklists for thought »

silentbicycle

Ingénierie sociale

Les techniques d’ingénierie sociale sont mises en œuvre par des humains sur des humains à des fins de divulgation d’informations, généralement avec usurpation d’identité.

L’importance de l’informatique dans la vie quotidienne et les avancées techniques aidant, cette catégorie de techniques s’appuie de plus en plus sur des processus automatisés utilisant le mail et le /web et des attaques par phishing.

Seule la formation des usagers permet de se prémunir efficacement contre ce type d’attaques.

TODO : Outil !

APT

APT est l’acronyme de Advanced Persistent Thread. C’est le nom donné à la fois à un type complexe d’attaques et aux organisation qui mettent en œuvre ces attaques.

Ce type d’attaque exploite généralement des vulnérabilités de type 0day, met en œuvre des moyens importants, vise des cibles spécifiques et emploie des méthodes d’ingénierie sociale adaptées (électronique ou non). Les technologies employées sont pointues : exfiltration furtive de données, agents dormants, …

Sniffing

Le sniffing est une technique semi-active qui consiste à écouter le réseau afin d’y collecter des données, éventuellement utilisables à d’autres fins, l’usurpation d’identité notamment.

Sur les réseaux « modernes », la technologie de commutation interdit aux postes de travail standards d’écouter les conversations qui ne les concernent pas. Cependant, comme il existe des mécanismes de protection, il est possible de forcer certains matériels de réseau à diffuser plus largement. L’une de ces techniques est appelée l’ARP poisoning.

Les dispositifs de collecte des données peuvent être déportés de l’enregistrement et de l’analyse. Les données brutes sur le réseau (trâmes) peuvent être collectées et/ou analysées avec les outils adéquats, comme Tcpdump ou Wireshark.

Le chiffrement des communications est une réponse à ce type d’attaque, bien que les mécanismes de chiffrement peuvent eux aussi présenter des vulnérabilités.

Sur les communications WiFi, cette technique est appeléé snarfing.

Malware

  • Une machine sur 4 infectée d’après Vinton Cerf, « inventeur d’internet »
  • Virus, Vers, Bombe logique, …
  • Spyware, Keyloggers, …
  • Backdoors (Back Orifice), Chevaux de Troie, …
  • Ransomware (qui génère d’énormes revenus)

Botnets et Zombies

Quelques noms :

  • Rustok – #1, 44 milliards de spams par jour, 3 millions de zombies,
  • Grum #2,
  • Cutwail #3,
  • Lethic, SpamIT, SpyEte, Carberp, Zeus/Murofet, Mariposa, Waledac, Mega-D, Avalanche…

L’infection des machines du botnet se fait par malware (14 millions de logiciels recensés, 60000 nouveaux par jour) via :

  • le mail (0,3% du trafic mondial infecté)
  • ou le web (+25% entre 2009 et 2010, 43000 domaines affectés)

Les botnets :

  • offrent une puissance de calcul ;
  • permettent de mener des attaques DDoS, de diffuser des malwares, du spam (77% issu de botnets) ;
  • être loués ! (modèle économique)

Le démantèlement de botnets est une opération d’envergure internationale qui requiert la coopération des gouvernements.

En 2010, 10% des botnets sont démantelés gràce à la coordination du CERT, opérateurs, hébergeurs, autorités locales.

Déni de service

  • DoS vs DDoS
  • Attaque simple et efficace
  • WinNuke, Ping of Death, LAND (@ip.src = @ip.dst), fragment recouvrants, …

Pénétration

Le terme de pénétration s’applique aux systèmes et requiert l’exploitation de vulnérabilités de ces systèmes (exploit en anglais).

Sécurité système

  • Services ouverts
  • Règles élémentaires d’administration système (cache des empreintes de mots de passe, suid, mises à jour, …)
  • Règles de développement (validation des entrées utilisateur !)

Vulnérabilités

  • Buffer overflow (stack smashing)
  • Vulnérabilités web : XSS, injection SQL, …

Buffer|Heap overflow
  • Principe :
    • entrée utilisateur
    • zones de mémoire :
      • instructions
      • données
      • exécution, dynamique, type LIFO, le tampon (buffer)
      • tas, dynamique
    • Fonctions, push, call (depuis @mem utilisée pour le retour), ret
    • Code dans les données dépassant la taille prévue ⇒ dépassement
    • Exécution de l’instruction suivante qui a été écrasée (shellcode)
  • Contre-mesure : Protections système (strcpystrncpy, SSP, pile non exécutable, …)
Shellcode
  • Pas d’octet nul (0x00, arrête le déploiement des données du shellcode), présence de NOP (0x90)
  • Chargeur (fonction booléenne ou exclusif)
  • Chiffrement, Code polymorphe, Obfuscation
  • Le shellcode passe même les antivirus
Brute force

Autres types de menaces

Les phases d’une attaque

À l’école, on apprend à imiter. Pour avoir de bonnes notes, il faut imiter le professeur. À l’université, le procédé est un peu plus subtil : on est censé imiter le professeur, tout en le persuadant qu’on ne l’imite pas, mais qu’on a saisi la quintessence de son enseignement.

— Robert M. Pirsig in « Traité du zen et de l’entretien des motocyclettes »

  1. Collecte d’infos
  2. Recherche de vulnérabilité
  3. Pénétration
  4. Effacement des traces
  5. Emprise
  6. éventuellement Extraction de données
  7. Rebond et retour à l’étape n°1

Collecte d’informations

  • Passive : DNS, Whois, moteurs de recherche
  • Semi-active : Recherche des services ouverts, cartographie, analyse DNS
  • Active : Scanning (Nmap)

Nmap (RTFM !)

  • TCP : -sT (connect), -sS (SYN), -sF (FIN), -sX (Xmas) et -sN (Null)
  • UDP : -sU
  • -PN (pas de ping préalable)
  • -O, -A (détection d’OS, de version de services)
  • -T, -D, -S (évasion)
  • --script !

Recherche de vulnérabilités

  • Passif/actif (nmap script et OSVDB, OpenVAS)
  • Scan de Vulnérabilité = scan de port + identification des versions de service + corrélation
  • Fingerprinting
  • Bannières (telnet)
  • Base de données de vulnérabilités
  • Services, mais pas que…
  • Problématique de la publication des vulnérabilités (Full disclosure, éthique)
  • Contre-mesure : Mise à jour des systèmes (tous les systèmes !)

Pénétration

  • Exploitation des vulnérabilités (Metasploit, à expérimenter avec Metasploitable)
  • Contre-mesures :
    • Système de détection d’intrusion (IDS) :
      • niveau réseau (NIDS, Snort)
      • niveau hôte (HIDS)
    • Système de prévention d’intrusion (IPS), nécessairement lié au parefeu
    • Tests de pénétration (Pentesting, whitebox, blackbox, certifications, …)

Effacement des traces

  • Journaux
  • Binaires
  • Contre-mesure : Tripwire, serveur de log, analyse des logs, alarmes

Emprise

Autres outils

  • Kali Linux : Distribution Linux qui regroupent un nombre impressionnant d’outils liés à la sécurité
  • Damn Vulnerable Linux :
    • Distribution Linux conçue pour être aussi vulnérable que possible
    • Collection d’outils pro et anti sécurité
    • Inclut des leçons complètes et leur environnement de test

Mise en œuvre de contre-mesures

Processus global

Dès lors que vous avez accepté comme une faveur la demande qu’on vous a faite, vous devez prendre sur vous pour vous en acquitter, quoi qu’il vous en coûte

— Bushidō Shoshinshû, Taïra Shigésuké (~1700)

  1. Prévenir : multiplier les barrières
  2. Bloquer : exclure les indésirables
  3. Limiter : sauvegarder, chiffrer
  4. Détecter : pour bloquer
  5. Réagir : être prêt en cas d’intrusion

Inventaire complet

L’annexe A de la norme ISO27001 présente une classification non exhaustive des objectifs de sécurité qui peuvent être mis en œuvre.

Par exemple, au point 6.8, on trouve une mesure relative aux emails qui recommande : « Les informations liées à la messagerie électronique doivent être protégée de manière adéquate ».

Ces objectifs sont très détaillés et les mesures pratiques afférentes sont proposées dans la norme ISO 27012.

Analyse du risque

La différence entre la NSA et une PME locale réside :

  • dans la nature du risque (valeur de l’information, probabilité d’une attaque, type d’attaque potentiel, impact possible)
  • dans l’appréciation de ce risque (acceptation ou non)

L’analyse du risque permet de définir une politique de la sécurité de l’information dont découlent les mesures techniques et organisationnelles qui constituent la politique de sécurité du système d’information.

Sécurisation à tous les étages

  • Humain
  • Accès physique
  • Systèmes
  • Réseau
  • Éviter l’alignement des vulnérabilités, multiplier les barrières

Autres protections, mécanismes

  • Journalisation + corrélation (8pussy, Splunk, Graylo, ELK, …)
  • Métrologie
  • Pot de miel (Honey Pot), à interaction haute ou basse
  • Jamais un mot de passe par défaut !

  • Serveur d’authentification, SSO
  • Autopsie (Forensics) et CERT

Liens et sources d’information

  • Tu me montreras ?
  • Bien sûr.
  • C’est difficile ?
  • Pas si on a un bon état d’esprit. C’est ça qui est difficile.

— Robert M. Pirsig in « Traité du zen et de l’entretien des motocyclettes »

Travaux

  • Tester nmap et ses différentes possibilités sur le réseau local, les serveurs du module M22 notamment
  • Essayer de mettre en œuvre les techniques listées au chapitre Anatomie d’une attaque sur le serveur olsc.org (sans se cantonner au web !).
  • Rendre compte, à la manière d’un pentester avant le 8 novembre